零信任网络中的智能身份分析方法与流程

本发明涉及网络安全技术，特别涉及一种零信任网络中的智能身份分析方法。

背景技术：

零信任安全核心思想是默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权机制，重构网络安全的信任基础。零信任安全摒弃了传统网络安全的防护架构：默认内网是安全的，安全就是构筑企业的数字护城河，通过防火墙、waf、ips等边界安全产品对企业网络出口进行重重防护，而忽略企业内网的安全。零信任架构重新评估和审视了传统的边界安全架构，并给出了新思路:应该假设网络自始至终充满外部和内部威胁，不能仅凭网络位置来评估信任；默认情况下不应该信任网络内部或外部的任何人、设备、系统，需要基于认证和授权重构访问控制的信任基础；并且访问控制策略应该是动态的，基于设备和用户的多源环境数据计算得来。零信任对访问控制进行了范式上的颠覆，引导网络安全架构从网络中心化走向身份中心化。

零信任架构提倡的持续认证、动态访问控制等特性会显著增加管理开销，只有引入智能身份分析，提升管理的自动化水平，才能更好的实现零信任架构的落地。智能身份分析可以帮助我们实现自适应的访问控制，还能够对当前系统的权限、策略、角色进行分析，发现潜在的策略违规并触发工作流引擎进行自动或人工干预的策略调整，实现治理的闭环。

实现智能身份分析的关键问题就是检测出受损的用户帐户和公司内部可能有恶意的内部人员(流氓用户)。假设一个被破坏的或流氓用户的行为与他的日常工作职责本质上是不同的，那么这个问题就更容易解决了。如果每个用户的行为都是随着时间的推移而被跟踪的，并且针对其他类似用户的行为，那么就可以建立一个用户行为的基线配置文件，而与此行为的任何偏差都可以标记为潜在的异常情况，以便进一步调查。

技术实现要素：

本发明的目的在于提供一种零信任网络中的智能身份分析方法，用于解决上述现有技术的问题。

本发明一种零信任网络中的智能身份分析方法，其中，包括：定义零信任网络中身份的含义，为网络中的各种实体都赋予逻辑身份，进行实体的行为分析，监视日常用户日常访问行为，并确定一组特性，以描述每个用户在每个时间段内的访问模式；定义身份分析的基准，赋予各种实体逻辑身份后进行身份的分析，历史基线为根据用户过去一段时间内的行为来评估用户的行为；同伴基线为根据所有同伴的行为来评估用户的行为；对于历史基线，用户访问服务器的历史上数天的数据向量用作基线数据x，同一用户访问服务器在测试日的数据用作测试数据向量x，对于同伴基线，在某一天访问服务器的所有用户的数据向量被用作该某一天的基线数据，该某一天的基线数据内的每个向量都将根据该基线进行评分；设计异常检测算法进行智能身份分析，获取测试数据向量x，设测试数据向量x具有正态分布，以比较具有不同分布的测试数据向量x中的异常。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，各种实体为网络中的人、设备以及应用。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，分析的时间粒度为每小时、每天或每周。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，设计异常检测算法进行智能身份分析，获取测试数据向量x，设测试数据向量x具有正态分布，将低概率事件视为异常，基于mahalanobisdistance的概念低概率的观测值就是找到与测试数据向量x的平均值距离较远的异常值，与测试数据向量x的平均值的距离作为异常程度或程度的指标，以比较具有不同分布的变量中的异常。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，来自各种数据源的用户、ip地址或设备相关的所有信息被汇集在一起，提供与实体相关的安全信息的一致的可视化表示。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，mahalanobisdistance标志着与正常活动的偏差。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，设计异常检测算法进行智能身份分析包括：为不同的变量提供不同的权重。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，设计异常检测算法进行智能身份分析中引入鲁棒pca或rpca[1]来处理噪声矩阵假设不满足的情况。

根据本发明所述的零信任网络中的智能身份分析方法的一实施例，其中，mahalanobisdistance计算的距离使用sigmoid函数映射为置信度分数，映射得到的分数是为区间[0，100]有界的一个置信分数。

本发明要实现的零信任网络把智能身份分析的过程作为基础支撑。现代企业因各种工作需求存在个员工，外包人员，客户等不同的用户身份，零信任网络不是以一套统一的管理逻辑流程包括全部工作，而是根据不同的身份信息通过分析当时的安全情况进行分类处理，建立身份信息，制定不同的访问策略，以开放智能的身份治理优化封闭身份管理。通过有效的身份风险评估，来支持进化的访问控制，在实践中发现规律，从而得到相对稳定的安全态势。

附图说明

图1为零信任架构方案示意图；

图2为智能身份分析流程图；

图3为零信任网络中的智能身份分析方法流程图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

如图1所至图3所示，本发明零信任网络中的智能身份分析方法对用户实体进行全面分析风险评估。来自各种数据源的与特定实体(用户、ip地址或设备)相关的所有信息被汇集在一起，提供与实体相关的所有丰富的安全信息的一致的可视化表示。旨在提供对用户行为资源的方便可视化访问，否则安全分析人员将花费数小时或数天在多个数据竖井中搜索信息，并进行组合。并且将机器学习算法应用于网络数据包和日志等多种数据源，识别企业网络中用户、ip地址和设备的异常行为。其监测分析的内容为：第一次访问的时间、当天最后一次访问的时间、最后一次访问和第一次访问之间的持续时间、一天中所有流量持续时间的总和，白天的eflow数量，上传字节总数、总下载字节数等。比如：利用用户的一些登陆、登出的时间间隔，发现帐号是否存在被劫持或者被盗用的风险；或者通过网络流量的历史访问数据，建立动态的基线，从而发现当前流量是否有异常。整个工作流可以分为四个不同的阶段，然后整个工作流程每天运行一次。

本发明零信任网络中的智能身份分析方法包括：

1)首先定义零信任网络中身份的含义，为各种实体都赋予逻辑身份，进行实体的行为分析看，监视日常用户日常访问行为，并确定一组特性，以描述每个用户在每个时间段内的访问模式；

2)定义身份分析的基准，赋予各种实体逻辑身份后进行身份的分析，需要考虑两种情况：历史基线：根据用户过去一段时间内的行为来评估用户的行为；同伴基线：根据所有同伴的行为来评估用户的行为；对于历史基线，特定用户访问服务器的历史上数天的数据向量用作基线数据向量x；同一用户访问服务器在测试日的数据用作测试数据向量x；对于同伴基线，在某一天访问服务器的所有用户(或特定组中的用户)的数据向量被用作该天的基线x，x内的每个向量都将根据该基线进行评分。

3)设计异常检测算法，获取测试数据向量，假设这些变量具有正态分布，将低概率事件视为异常，基于mahalanobisdistance的低概率的观测值就相当于找到与常见值距离较远的异常值。与平均值的距离可以作为异常程度或程度的指标。当用标准差而不是绝对单位来表示时，这个距离给出了z-score，z-score显示了观察值与平均值之间有多少标准差。这使得可以比较具有不同分布的变量中的异常。

来自各种数据源的用户、ip地址或设备相关的所有信息被汇集在一起，提供与实体相关的安全信息的一致的可视化表示。

大多数安全用例的一个主要要求是找出偏差是片面的。例如，在监视来自敏感的内部服务器的下载活动的情况下，人们可能并不真正关心是否有人下载了低于正常值的下载量，而是想知道下载量是否真的很大。但是，mahalanobisdistance将标志着与正常活动的偏差，无论是在低侧还是在高侧。

可变权重：在某些用例中，常见的需求是能够为不同的变量提供不同的权重。例如，如果我们希望监视用户的服务器访问时间延长，但不太关心他们的下载活动，则与字节相关的变量(如下载和上载活动)相比，此扩展提供了使时间变量对马氏距离贡献更大的能力。

对异常值的鲁棒性：在实践中，使用数据集的经验估计值。然而，协方差矩阵的估计对数据中是否存在异常值非常敏感。它迭代地寻找协方差矩阵的行列式最小的点。引入鲁棒pca或rpca[1]来处理噪声矩阵假设不满足的情况。主成分分析(pca)与奇异值分解(svd)密切相关，是一种常用的降维和数据分析技术。

提供检测点异常原因的信息。mahalanobisdistance不是从上到下有界的，计算的距离可以任意大。此方法要求是为区间[0，100]有界的每个异常生成一个置信分数。我们使用sigmoid函数将mahalanobisdistance映射为置信度。